Завантажувач PEAKLIGHT

Дослідники з кібербезпеки виявили новий дроппер, призначений для розгортання наступних етапів зловмисного програмного забезпечення, зрештою націлених на системи Windows за допомогою викрадачів і завантажувачів інформації.

Цей дроппер лише для пам’яті розшифровує та запускає завантажувач на основі PowerShell, ідентифікований як PEAKLIGHT. Штами зловмисного програмного забезпечення, що поширюються за допомогою цього методу, включають Lumma Stealer , Hijack Loader (також відомий як DOILoader, IDAT Loader або SHADOWLADDER) і CryptBot , усі вони пропонуються як частина моделі шкідливого програмного забезпечення як послуги (MaaS).

Початковий вектор атаки та ланцюг атаки

Ланцюжок атак починається з файлу ярлика Windows (LNK), який завантажується за допомогою методів завантаження Drive-by, наприклад, коли користувачі шукають фільми в Інтернеті. Ці файли LNK упаковані в архіви ZIP, замасковані під піратські фільми.

Після завантаження файл LNK з’єднується з мережею доставки вмісту (CDN), де розміщено обфускований JavaScript-доппер, який працює лише в пам’яті. Потім цей дроппер виконує сценарій завантажувача PEAKLIGHT PowerShell на комп’ютері жертви, який, у свою чергу, зв’язується з сервером командування та керування (C2) для отримання подальших корисних даних.

Дослідники спостерігали різні варіації файлів LNK, де деякі використовували зірочки (*) як символи підстановки для виклику законного двійкового файлу mshta.exe, що дозволяло непомітно виконувати шкідливий код (тобто дроппер) із віддаленого сервера.

PEAKLIGHT приховує свою загрозливу дію за законними фільмами

Подібним чином виявлено, що дроппери містять корисні навантаження PowerShell як у шістнадцятковому кодуванні, так і в кодуванні Base64. Ці корисні навантаження розпаковуються для запуску PEAKLIGHT, інструменту, призначеного для подальшого розгортання зловмисного програмного забезпечення в зараженій системі, одночасно завантажуючи законний трейлер фільму, ймовірно, як приманку.

PEAKLIGHT функціонує як обфусцований завантажувач на основі PowerShell у багатоетапному ланцюжку виконання. Він шукає архіви ZIP у певних жорстко закодованих шляхах до файлів. Якщо ці архіви не знайдено, завантажувач зв’язується із сайтом CDN, щоб завантажити файл архіву та зберегти його на диску.

Це не перший випадок шкідливого програмного забезпечення, націленого на користувачів, які шукають піратські фільми. На початку червня 2024 року дослідники виявили складний ланцюжок зараження, що призвело до розгортання Hijack Loader після спроби завантажити відеофайл із сайту для завантаження фільмів.

Завантажувачі відкривають двері для більш спеціалізованих шкідливих програм

Зловмисне програмне забезпечення завантажувача становить кілька серйозних небезпек як для окремих осіб, так і для організацій:

• Початковий компроміс : зловмисне програмне забезпечення Downloader часто є першим етапом більшої атаки. Після інсталяції він може безшумно завантажувати та встановлювати додаткові зловмисні програми, включно з більш складними шкідливими програмами.
• Крадіжка даних : додаткове корисне навантаження, яке доставляє зловмисне програмне забезпечення для завантаження, може включати викрадачі інформації, які захоплюють особисті дані, такі як облікові дані для входу, фінансову інформацію та особисті дані, що призводить до крадіжки особистих даних і фінансових втрат.
• Викрадення системи : деякі шкідливі програми-завантажувачі призначені для розгортання інструментів віддаленого доступу або бекдорів, що дозволяє зловмисникам отримати контроль над зараженою системою. Це може призвести до несанкціонованого доступу до корпоративних мереж, витоку даних і подальшого зламу системи.
• Розгортання програм-вимагачів : зловмисне програмне забезпечення Downloader може використовуватися для встановлення програм-вимагачів, які можуть шифрувати файли жертви та вимагати викуп за їх випуск. Це може призвести до значної втрати даних і збоїв у роботі.
• Підвищена вразливість : після встановлення зловмисне програмне забезпечення для завантаження може послабити захист системи та створити вразливі місця, якими можуть скористатися інші типи зловмисного програмного забезпечення. Це полегшує зловмисникам розгортання більш небезпечних або постійних загроз.
• Розповсюдження в мережі : зловмисне програмне забезпечення завантажувача може поширюватися мережами, заражаючи інші пристрої та системи в тому ж середовищі. Це може спричинити масштабні пошкодження та збільшити складність заходів з відновлення.
• Витрата ресурсів : зловмисне програмне забезпечення може споживати системні ресурси, такі як процесор і пропускна здатність, що призводить до зниження продуктивності та потенційних збоїв у роботі служби. Це може вплинути на продуктивність і збільшити експлуатаційні витрати.
• Юридичні ризики та ризики відповідності : інфіковані організації можуть зіткнутися з проблемами законодавства та відповідності, особливо якщо порушення даних стосується конфіденційної або регламентованої інформації. Це може призвести до штрафів, судових позовів і шкоди репутації.

Загалом зловмисне програмне забезпечення для завантаження є серйозною загрозою через його роль у сприянні подальшим атакам і впливі на безпеку та цілісність уражених систем і мереж.